大数跨境

【安全通告-CVE-2022-25598】关于 DolphinScheduler 漏洞情况的说明

【安全通告-CVE-2022-25598】关于 DolphinScheduler 漏洞情况的说明 海豚调度
2022-03-30
2
导读:Apache DolphinScheduler社区邮件列表通告了1个漏洞,特此说明。

点击蓝字 关注我们


最近,Apache DolphinScheduler 社区邮件列表通告了 1 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明:


01


CVE-2022-25598



漏洞描述:用户注册校验时可能遭受恶意参数引起的安全隐患。


重要程度:


影响范围:API 服务暴露在外网中的用户。用户可根据实际情况决定是否需要升级。


影响版本:<2.0.5


漏洞说明:


此问题是由于用户注册校验错误引起,攻击者可以在注册页面填写导致安全隐患的恶意参数。

修复建议:


升级到>=2.0.5版本


02


特别感谢



特别感谢漏洞报告者:来自哈尔滨工业大学的王政同学,他提供了漏洞的还原过程以及对应的解决方案。整个过程呈现了专业安全人员的技能和高素质,感谢他们为开源项目的安全守护所作出的贡献。




03


建议



十分感谢广大用户选择 Apache DolphinScheduler 作为企业的大数据任务调度系统,但必须要提醒的是调度系统属于大数据建设中核心基础设施,请不要将其暴露在外网中。此外应该对企业内部人员账号做好安全措施,降低账号泄露的风险。




04


贡献



迄今为止,Apache DolphinScheduler 社区已经有近 300+ 位代码贡献者,100+ 位非代码贡献者。其中也不乏其他 Apache 顶级项目的 PMC 或者 Committer,非常欢迎更多伙伴也能参与到开源社区建设中来,为建造一个更加稳定安全可靠的大数据任务调度系统而努力,同时也为中国开源崛起献上自己的一份力量!

官网 https://dolphinscheduler.apache.org/
MailList :dev@dolphinscheduler@apache.org
Twitter :@DolphinSchedule
YouTube :https://www.youtube.com/channel/UCmrPmeE7dVqo8DYhSLHa0vA
Slack :https://s.apache.org/dolphinscheduler-slack
Contributor Guide:https://dolphinscheduler.apache.org/en-us/community/index.html
如果对漏洞有任何疑问,欢迎参与讨论,竭诚解决大家的疑虑。

参与贡献


随着国内开源的迅猛崛起,Apache DolphinScheduler 社区迎来蓬勃发展,为了做更好用、易用的调度,真诚欢迎热爱开源的伙伴加入到开源社区中来,为中国开源崛起献上一份自己的力量,让本土开源走向全球。


参与 DolphinScheduler 社区有非常多的参与贡献的方式,包括:


贡献第一个PR(文档、代码) 我们也希望是简单的,第一个PR用于熟悉提交的流程和社区协作以及感受社区的友好度。


社区汇总了以下适合新手的问题列表:https://github.com/apache/dolphinscheduler/issues/5689


非新手问题列表:https://github.com/apache/dolphinscheduler/issues?q=is%3Aopen+is%3Aissue+label%3A%22volunteer+wanted%22


如何参与贡献链接:https://dolphinscheduler.apache.org/zh-cn/docs/development/contribute.html


来吧,DolphinScheduler开源社区需要您的参与,为中国开源崛起添砖加瓦吧,哪怕只是小小的一块瓦,汇聚起来的力量也是巨大的。


参与开源可以近距离与各路高手切磋,迅速提升自己的技能,如果您想参与贡献,我们有个贡献者种子孵化群,可以添加社区小助手微信(Leonard-ds) ,手把手教会您( 贡献者不分水平高低,有问必答,关键是有一颗愿意贡献的心 )。


添加小助手微信时请说明想参与贡献。


来吧,开源社区非常期待您的参与。



☞Apache SeaTunnel (Incubating) 2.1.0 发布,内核重构、全面支持 Flink

☞全面拥抱 K8s,ApacheDolphinScheduler 应用与支持 K8s 任务的探索

☞杭州思科对 Apache DolphinScheduler Alert 模块的改造

日均处理 10000+ 工作流实例,Apache DolphinScheduler 在 360 数科的实践

☞Apache DolphinScheduler 2.0.5 发布,Worker 容错流程优化

☞Apache DolphinScheduler 版本控制核心原理揭

☞喜讯 | Apache DolphinScheduler PMC Chair 代立冬,PMC 郭强获邀成为 ASF Member

☞途家大数据平台基于 Apache DolphinScheduler 的探
索与
实践



点击阅读原文,参与开源!

【声明】内容源于网络
0
0
海豚调度
Apache DolphinScheduler是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统,其致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。
内容 667
粉丝 0
海豚调度 Apache DolphinScheduler是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统,其致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。
总阅读167
粉丝0
内容667